DeathStalker

Hacker-Gruppe nimmt KMUs ins Visier

Von in IT-Sicherheit
04
Sep
'20

DeathStalker ist der klangvolle Name einer relativ jungen Hacker-Gruppe, die es gezielt auf kleine bis mittlere Unternehmen abgesehen hat. Ihre Spezialität dabei: Der Diebstahl von sensiblen Daten und Geschäftsgeheimnissen.

Wir verraten Ihnen, wie die Cyberkriminellen arbeiten und woran sie potentielle DeathStalker-Angriffe erkennen.

hacker-gruppe deathstalker

Niemand weiß, wer hinter der Hacker-Gruppe DeathStalker steckt. Bild: Pixabay/xusenru

DeathStalker – Cybercrime seit 2018

Die DeathStalker-Gruppe existiert vermutlich erst seit dem Jahr 2018 (genauso übrigens wie die Lazarus-Gruppe, eine der gefährlichsten Hacker-Vereinigungen der Welt), wobei sich Experten diesbezüglich nicht einig sind, denn auch schon sechs Jahre zuvor tauchten Angriffsmuster auf, die heute als charakteristisch für die Gruppe gelten. Aber wie dem auch sei, Fakt ist: Die DeathStalker-Mitglieder haben es auf KMUs abgesehen.

Vorzugsweise auf Finanzunternehmen, einzelne Finanzberater und Anwaltskanzleien. Also überall dort, wo es um sehr sensible Daten geht. Parallel dazu soll mindestens ein Angriff auf eine diplomatische Institution stattgefunden haben.

Das Angriffsziel der DeathStalker-Gruppe ist dabei immer dasselbe: der Diebstahl von Geschäftsgeheimnissen und Daten, die so brisant sind, dass sie auf keinen Fall an die Öffentlichkeit gelangen sollen.

DeathStalker: Hacker-Gruppe hat es auf sensible Daten abgesehen

Die Sicherheitsexperten von Kaspersky, die nun ihre Forschungsergebnisse über die Hacker-Gruppe im hauseigenen Blog veröffentlichten, sind sich noch nicht vollständig schlüssig, welches übergeordnete Ziel hinter den Ambitionen steht. Generell sollen zwei Möglichkeiten in Frage kommen:

  1. Die Cyberkriminellen verdienen ihr Geld damit, indem sie die gestohlenen Daten im Darknet anbieten und weiterverkaufen.
  2. Die Hacker fungieren als eine Art Söldnergruppierung und bieten sozusagen einen Angriffsservice, der beispielsweise von konkurrierenden Unternehmen oder anderen Kriminellen in Anspruch genommen werden kann.

Beides klingt nicht wirklich beruhigend. Und vor allem: Niemand kann mit Sicherheit ausschließen, auf der potentiellen Opfer-Liste der Gruppierung zu stehen.

phishing scams

Spear-Phishing Scams gilt als eine der größten Gefahren. Bild: Pixabay/Tumisu

Typische Angriffsmuster der Hacker-Gruppe

Die Kriminellen greifen die Unternehmen vornehmlich über eine Spear-Phishing-Attacke an. Dabei handelt es sich um eine zielgerichtete Form des klassischen Phishings. Bedeutet: Während eine reguläre Phishing-Attacke meist sehr breit und ohne wirkliches Ziel beziehungsweise wahllos an hunderte Adressen gestreut wird, nehmen die Hintermänner beim Spear-Phishing eine konkrete Institution oder Firma ins Visier.

Das Prinzip ist dabei unverändert. Gefälschte E-Mails sollen den Empfänger unabsichtlich dazu verleiten, Daten freizugeben, Malware zu installieren oder Zugriff auf das System zu ermöglichen. Im Falle von DeathStalker dringen die Hacker mittels des Phishings-Angriffs in das Netzwerk ein und verschicken dann eine getarnte LNK-Datei an einen oder mehrere Kollegen des Opfers. Und was passiert dann?

LNK-Datei sorgt für Ausübung eines bösartigen Skripts

Diese Datei ist im Prinzip nichts anderes als eine Verknüpfung, die die System-Kommandozeile öffnet und dann die Ausführung eines bösartigen Skriptes erzwingt. Das Opfer selbst sieht allerdings nur ein augenscheinlich ganz normales PDF oder Dokument, wodurch es keinen Verdacht schöpft.

Als nächstes erfolgt ein Dead-Drop-Resolve-Manöver. Es wird also ein „toter Briefkasten“ genutzt, um verschlüsselte Informationen für die nächste Angriffsstufe zu übertragen. Zu guter Letzt übernehmen die Hacker vollständig die Kontrolle über das System, verstecken bösartige Verknüpfungen so, dass sie ungehindert weiter ausgeführt werden können, und stellen eine Verbindung zum Command-and-Control-Server her.

Was ziemlich kompliziert klingt, erfüllt am Ende einen einfachen Zweck: die kontinuierliche Erstellung von Screenshots. Selbige landen dann direkt bei den Hackern, während diese parallel versuchen, weiteren Schadcode auszuführen.

Schutz vor Hacking-Angriffen der DeathStalker-Gruppe

Das Problem ist bislang, dass die Gruppe ihren Job versteht. Die eingeschleuste Schadsoftware ist nämlich teilweise sehr gut darin, gängige Sicherheitssoftware auszutricksen und unter dem Radar zu bleiben. Und selbst wenn sie als Schädling identifiziert wird, heißt das noch gar nichts, denn die Malware ist so intelligent, sich wahlweise zu deaktivieren oder entsprechend zu verändern, um wieder unsichtbar zu sein.

Das passiert zum Beispiel, wenn die Schadsoftware vorgaukelt, lediglich auf öffentliche Webseiten wie WordPress, YouTube oder Google zuzugreifen. Und vor allem Letztere dürfte wohl in keinem Unternehmen der Welt gesperrt sein. Um der ganzen Misere zu entgehen, genügt es aber, wachsam zu bleiben. Sobald Sie eine E-Mail mit einer LNK-Datei erhalten, sollten die Alarmglocken schrillen.

Achten Sie darüber hinaus darauf, dass Ihre Anti-Virus-Software immer auf dem aktuellsten Stand ist. Ein sorgfältiges Anti-Virus-Management sorgt dafür. Und ansonsten: Wenden Sie sich vertrauensvoll an unsere Experten aus dem IT-SERVICE.NETWORK.

IT-Sicherheit

Sie wollen Ihre Schotten dicht machen? Mit einem umfassenden IT-Sicherheitskonzept schützen unsere Profis Ihre IT-Systeme.

Lena Klaus

Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Seit 2013 kennt sie die IT-Branche und hat sich in diesem Zusammenhang auf B2C- und B2B-orientierte Content-Plattformen spezialisiert.

Fragen zum Artikel? Frag den Autor

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.